Modem con server DNS infetto

[alepuffola]

Vengo subito al punto:
Se avete un modem-router non nuovissimo, diciamo di 4-5 anni fa o anche un pò meno, date una controllata nel pannello di configurazione, e assicuratevi che l'indirizzo DNS settato non appartenga a uno di quei server che si divertono a reindirizzare il browser su siti "maligni".
Cos'è un server DNS? in pratica è un elenco telefonico delle connessioni internet.
Voi gli date il nome di un sito, e il server DNS vi risponde, da internet, col numero IP del sito.
Conoscendo quel numero il browser può raggiungere effettivamente e poi caricare il sito.
Un esempio? E' il server DNS settato sul modem che dice al pc che Micimiao corrisponde all'IP 195.130.247.126

Naturalmente se il server DNS è fra i "buoni" tutto ok. Caricherà i veri IP dei siti.
Se invece non lo è siete in un bel guaio, perchè tenderà a mentire fornendo al browser numeri IP falsi per reindirizzarvi su siti "sosia" e rubare credenziali di posta e altro.
Non lo farà sempre, per non destare sospetti e far sembrare la navigazione normale. Ma prima o poi lo farà. Magari sui siti istituzionali, o magari potrà rendere irraggiungibili i siti antivirus impedendovi di scaricare aggiornamenti di sicurezza.

Vi chiederete perchè vi annoio con questa solfa...perchè qualche giorno fa è successo a me, per cui ho toccato con mano che non è fantainformatica.
Abbastanza per caso, sono entrato nella configurazione del mio modem router ( vecchio a dir la verità, ha quasi 6 anni ) Kraun KR.YL, e mi accorgo con sorpresa che il DNS primario era configurato su un numero IP strano e sconosciuto: 5.104.175.153.
Su http://www.ip2location.com/demo scopro che è un DNS bulgaro, di Sofia.
Cerco info su google e scopro che a quanto pare è un DNS infetto.

Come ha fatto a settarsi da solo?
Sui Pc Windows può farlo attraverso codice infetto ( virus, worm, rootkit ). Il virus prende il controllo della connessione e arriva al pannello modem attraverso la LAN (rete interna) stessa.
"Peccato" però che io navigo e uso Linux, che come noto è praticamente immune ai virus. Per cui la cosa era (anzi è) ben più grave perchè a questo punto l'unico modo è che qualcuno sia entrato sul router dall'esterno, sfruttando una falla di sicurezza del modem stesso.
E infatti googlando trovo immediatamente:
http://www.felicebalsamo.it/soluzion...ti-sui-router/
C'è una falla di sicurezza nel firmware di alcuni modem. Attraverso quella si può entrare nella configurazione modem da internet e cambiare il DNS.
Resettare il modem non serve a nulla. L'ho fatto diverse volte e dopo un pò mi ritrovavo il DNS cambiato. Sempre uno diverso, ma sempre infetto. Inoltre al mio modem non mi fa più settare DNS scelti da me.
Quindi devo affidarmi a quelli predefiniti scelti da Telecom. O buttare il modem
Purtroppo per molti modem non c'è alcuna soluzione, se non quella di chiudere del tutto la possibilità di accedere dall'esterno al modem. Come è spiegato nell'articolo sopra.

Per controllare se è successo anche a voi entrate sul modem digitando sul browser http://192.168.1.1
vi chiederà nome e password. Se non l'avete mai cambiate saranno quelle di default : admin - admin
Cercate una sezione LAN ( in genere è sulla scheda impostazioni avanzate ) e scorrendo le voci vi troverete la voce Server DNS. Se la voce è "spenta" o c'è uno dei numeri 8.8.8.8 o 8.8.4.4, tutto bene, sono quelli di google.
Se vedete un numero diverso segnatevelo. E controllate su http://www.ip2location.com/demo dove vedrete la provenienza.
Qui http://public-dns.tk/ controllate poi che sia fra quelli validi.

Se ci sono domande sono qui

[violapensiero]

Ho appena controllato il modem, il cambio dell'apparecchio ha portato via le modifiche da me apportate, ora il DNS è diverso, italiano comunque. Ho perso anche le impostazioni di port mapping di emule...

[rosa]

grazie Sandro tutto bene

[Brioche:)]

E ti pareva che io trovavo tutto?
Io ho un modem Alice vecchiotto di almeno 6 anni (forse di più).
Ho seguito le tue indicazioni ma non trovo la voce server DNS.
Trovo solo nella scheda Connessioni, le voci Dsn primario in uso e dsn primario di default e dsn seconsario in uso e dsn secondario di default.
Nelle impostazioni avanzate trovo la voce dsn dinamico che è vuota.

Credo di aver trovato. Ho. Controllato i numeri ip che ho trovato nei campi che ti dicevo e risultano tutti italiani e di telecom!!

Grazieeeee

[alepuffola]

Quote:

Originariamente inviato da Brioche:)

Trovo solo nella scheda Connessioni, le voci Dsn primario in uso e dsn primario di default e dsn seconsario in uso e dsn secondario di default.

sì sono proprio quelle voci. Dns primario e secondario. il secondario viene usato quando il primario non è accessibile.
Sui TP-Link sono nella scheda LAN.

[Brioche:)]

Quote:

Originariamente inviato da alepuffola

Sui TP-Link sono nella scheda LAN.

Ora pretendi davvero troppo....comunque li ho controllati inserendoli nel sito che hai indicato tu e, in tutti e quattro, trovo che sono di Telecom Italia.....direi che è tutto a posto vero????

[alepuffola]

sì certo, sono a posto. Ip2location.com è uno dei siti più affidabili per la geolocalizzazione.

Se avete ancora le credenziali predefinite di accesso (admin - admin ) naturalmente cambiatele.
il nome utente di accesso molti modem non lo fanno cambiare e dev'essere per forza admin ma la password cambiatela.
Inoltre anche se non siete stati attaccati sarebbe bene chiudere ogni accesso dall'esterno in modo forzato, andando nella sezione ACL (access control list ) e seguendo la guida dell'articolo linkato.

Io ho TeleTu che è di Vodafone e tutti gli IP appartengono a Vodafone. Quindi tutto a posto.
Grazie Sandro per la dritta!

[Aletto]

Siete troppo evoluti, non ho capito una parola che sia una. Il modem che ho è Fastweb, non mi aspetto che rispondiate, sono troppo indietro

[Aletto]

P.S. grazie comunque alepuffola, domani vedo di capirci qualcosa